Última actualización: 29 de abril de 2026 La seguridad de la información es un pilar fundamental de Laburen. Esta página describe los controles técnicos y organizativos que implementamos para proteger los datos de nuestros clientes y usuarios finales, alineados con el estándar ISO/IEC 27001:2022. Para reportar una vulnerabilidad de seguridad, escríbenos a support@laburen.com con el asunto “Security Disclosure”.Documentation Index
Fetch the complete documentation index at: https://docs.laburen.com/llms.txt
Use this file to discover all available pages before exploring further.
Política de seguridad de la información
Laburen se compromete a:- Proteger la confidencialidad, integridad y disponibilidad de toda la información que procesa
- Cumplir con las normativas de protección de datos aplicables en las jurisdicciones donde opera
- Gestionar los riesgos de seguridad de forma continua y sistemática
- Mejorar continuamente nuestro Sistema de Gestión de Seguridad de la Información (SGSI)
- Comunicar de forma transparente nuestras prácticas y cualquier incidente relevante
Infraestructura y seguridad en la nube
Laburen opera sobre infraestructura cloud de proveedores certificados. Los datos de clientes se almacenan en Europa (UE).| Proveedor | Certificaciones | Región |
|---|---|---|
| Microsoft Azure | ISO 27001, SOC 2 Type II, CSA STAR | 🇪🇺 Europa |
| AWS | ISO 27001, SOC 2 Type II, PCI DSS | 🇪🇺 Europa |
| Fly.io | ISO 27001 alineado, SOC 2 | 🇪🇺 Europa |
Cifrado
En tránsito
- Todas las comunicaciones entre clientes y la plataforma usan TLS 1.2 o superior
- Certificados gestionados y renovados automáticamente
- HSTS (HTTP Strict Transport Security) habilitado
En reposo
- Todos los datos almacenados cifrados con AES-256
- Las claves de cifrado son gestionadas por los KMS (Key Management Service) de los proveedores cloud
- Los datos de pago son manejados exclusivamente por Stripe — Laburen no almacena números de tarjeta
Control de acceso
Acceso a la plataforma (clientes)
- Autenticación con contraseña fuerte + opción de autenticación multifactor (MFA)
- Gestión de sesiones con tokens de corta duración y renovación automática
- Cierre de sesión automático por inactividad
Acceso interno (equipo Laburen)
- Principio de mínimo privilegio: cada persona accede únicamente a los sistemas y datos necesarios para su función
- MFA obligatorio para todo acceso a sistemas de producción
- Revisión periódica de permisos y revocación inmediata al cese laboral
- Acceso de administración a bases de datos solo mediante canales cifrados y auditados
- Separación de entornos: desarrollo, staging y producción están aislados
Seguridad en el desarrollo
- Revisión de código obligatoria antes de despliegue a producción
- Dependencias monitoreadas con alertas automáticas ante vulnerabilidades conocidas (CVE)
- Pruebas de seguridad como parte del ciclo de desarrollo (SAST)
- Branching protegido: los despliegues a producción requieren aprobación explícita
- Los secretos y credenciales nunca se incluyen en el código fuente — se gestionan via variables de entorno y gestores de secretos
Gestión de vulnerabilidades
- Monitoreo continuo de vulnerabilidades en dependencias e infraestructura
- Parches críticos de seguridad aplicados en un plazo máximo de 72 horas desde la divulgación
- Parches de severidad alta aplicados en un plazo máximo de 7 días
- Pruebas de penetración realizadas periódicamente por equipos externos
Divulgación responsable
Si descubres una vulnerabilidad en nuestros sistemas, te pedimos que nos la comuniques de forma responsable antes de divulgarla públicamente: Email: support@laburen.com Asunto:Security Disclosure
Nos comprometemos a:
- Confirmar recepción en un plazo de 2 días hábiles
- Proporcionar una actualización sobre el estado en un plazo de 7 días
- No emprender acciones legales contra investigadores que actúen de buena fe
Gestión de incidentes de seguridad
Contamos con un procedimiento documentado de gestión de incidentes:- Detección y clasificación — sistemas de monitoreo y alertas 24/7
- Contención — aislamiento del sistema o vector afectado
- Análisis — determinación del alcance e impacto
- Notificación — a autoridades reguladoras (dentro de 72h si aplica GDPR) y a clientes afectados (dentro de 48h)
- Remediación — corrección de la causa raíz
- Revisión post-incidente — análisis de lecciones aprendidas y mejoras al SGSI
Gestión de proveedores y subprocesadores
Todos los proveedores que acceden o procesan datos de clientes son evaluados antes de la contratación y de forma continua:- Revisión de certificaciones de seguridad (ISO 27001, SOC 2)
- Firma de Acuerdo de Procesamiento de Datos (DPA) con cláusulas de seguridad
- Evaluación de mecanismos de transferencia internacional cuando aplica (SCCs)
- Revisión ante cambios significativos en el proveedor
Continuidad del negocio y recuperación ante desastres
- Backups automatizados de datos críticos con frecuencia diaria
- Retención de backups: 30 días para recuperación operativa
- Recuperación ante desastres (RTO/RPO): objetivo de recuperación de servicio en menos de 4 horas ante fallo mayor
- Infraestructura multi-zona para alta disponibilidad
- Pruebas periódicas de los procedimientos de recuperación
Seguridad del personal
- Verificación de antecedentes para personal con acceso a sistemas de producción
- Formación en seguridad obligatoria al incorporarse y anualmente
- Acuerdos de confidencialidad firmados por todo el equipo
- Procedimientos claros de off-boarding con revocación inmediata de accesos
Cumplimiento normativo
| Marco / Normativa | Estado |
|---|---|
| GDPR (UE) | Alineado — DPA disponible, SCCs para transferencias US, controles implementados |
| Ley 25.326 (Argentina) | Alineado — base jurisdiccional de Laburen |
| LGPD (Brasil) | Alineado — derechos de usuarios BR cubiertos en Política de Privacidad |
| CCPA / CPRA (California) | Alineado — derechos de usuarios CA cubiertos, no venta de datos |
| ISO/IEC 27001:2022 | Controles implementados — proceso de certificación formal en curso |